美国和加拿大PKI/CA体系的分析(转)

2024-02-29 11:30

本文主要是介绍美国和加拿大PKI/CA体系的分析(转),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

美国和加拿大PKI/CA体系的分析(转)[@more@]

  美国联邦PKI体系

  

  美国联邦PKI是自下而上建立的一个庞大PKI体系。联邦政府首先成功地在各联邦机构中分别使用了不同的PKI产品,PKI产品的多样性提高了政府机构的工作效率,但也造成了各机构彼此之间难以互操作的问题。为了增强彼此间合作,解决不同信任域之间,联邦政府计划联合各联邦机构中独立的PKI/CA共同组建美国联邦PKI体系。

  美国联邦PKI体系主要由联邦的桥认证机构(FBCA,FederalBridgeCA)、首级认证机构(PCA,PrincipalCA)和次级认证机构(SCA,SubordinateCA)等组成,如图1所示。

    2003.5.17.14.33.0.01.jpg

  从图1中,我们可以看到联邦PKI的体系结构中没有采用根CA,而采用了首级CA,这是因为在美国,信任域的结构是多种多样的,美国联邦PKI体系结构可以支持分级(树状)结构、网状结构和信任列表等。联邦的桥CA是联邦PKI体系中的核心组织,是不同信任域之间的桥梁,主要负责为不同信任域的首级CA颁发交叉认证的证书,建立各个信任域的担保等级与联邦桥CA的担保等级之间的映射关系,更新交叉认证证书,发布交叉认证证书注销黑名单。但是联邦的桥CA不要求一个机构在与另一个机构发生信任关系时必须遵循联邦PKI所确定的这种映射关系,而是可以采用它认为合适的映射关系确定彼此之间的信任。

  联邦PKI体系的工作原理实际上就是指联邦桥CA的工作原理。联邦的桥CA不直接向用户颁发证书,允许用户保留自己的原始信任点。正如我们在网络中所使用的“HUB”一样,任何结构类型的PKI结构都可以通过这个机构连接在一起,实现彼此之间的信任,并将每一个单独的信任域通过联邦的桥PKI扩展到整个联邦PKI体系中。

  在进行网上交易时,当接受者接收到发送者数字签名的电子文件时,为了验证签名的有效性,接收者的应用软件必须完成三件事情。

  1、首先接收者的软件必须确定发送者的信任域和接收者的信任域之间是否存在信任关系,这可以通过建立两个信任域之间的证书“信任路径”来实现;

  2、接收者必须确定发送者证书中所描述的政策即证书包含的担保级别是否满足本次交易的需要;

  3、确定在这个信任路径中,所有的证书都必须有效,证书既没有超过有效期,也没有被注销。

  

  加拿大PKI体系

  

  加拿大政府PKI体系结构是由政策管理机构(PMA)、中央认证机构(CCF)、一级CA和当地注册机构(LRA)组成。其中PMA是一个若干部门共同组建的机构,由加拿大政府财政部秘书处领导,为政府PKI体系提供全面的政策指导,负责监督和管理加拿大政府PKI体系的政策实施情况。CCF是中央认证机构,它实施政府PKI体系中的所有策略,签署和管理与一级CA交叉认证的证书。一级CA是由政府运营,制定一个和多个证书担保的等级,分发和管理数字证书,定期颁布证书注销黑名单。LRA是一级CA设置的登记机构,其职责是认证和鉴别申请者的身份,为密钥恢复或证书恢复请求进行审批,接受并审批证书的注销请求。

  加拿大政府PKI体系是一个完全政府行为的公开密钥体系结构,充分考虑了交易的保密性和安全性,并把保护交易保密性和安全性列为信息高速公路的首要问题。

  加拿大政府PKI体系是由若干CA组成,这些CA形成树状结构,每个用户的公钥和身份验证的信息都放在证书中,证书签发CA在每个证书上签名,并使其包含公钥的证书对外公开。任何用户都能够方便地得到其他用户的公钥,通过公钥验证该用户的签名,辨别真伪。

   2003.5.17.14.33.10.02.jpg

  

  图2加拿大政府PKI体系的结构

  从图2中我们可以发现,加拿大政府PKI体系的信任域都是树状结构,查找信任关系更加快捷,建立信任关系也更加容易,只需要和相应的一级CA进行交叉认证即可,不像网状结构需要确定哪个CA与联邦的桥CA进行交叉认证。另外,两种树状结构建立信任关系必须通过中央认证机构,不允许一个树状结构与另一个树状结构直接发生信任关系,中央认证机构是与外界建立信任关系的唯一接口。加拿大政府PKI体系简单,易于操作,是一个值得借鉴的PKI体系。

  

  两种体系的比较

  

  美国联邦PKI体系和加拿大政府PKI体系都是政府组织的PKI体系,其目的都是为了本国的各级政府部门开展电子政务。在两种体系中均设有一个交叉认证中心,用来沟通不同信任域之间的信任关系,与其他政府PKI/CA建立信任关系的接口。美国在开发联邦PKI体系时充分考虑了与加拿大政府PKI体系的兼容性。美国联邦PKI体系和加拿大政府PKI体系并不完全一致,两者的区别表现为:

  1、体系结构方面。美国联邦PKI体系结构比较复杂,包含树状结构、网状结构和信任列表等,联邦的桥CA仅是一个桥梁;而加拿大政府PKI体系结构比较简单,是一个树状结构,从结构上看,中央认证机构仿佛是一个根CA。

  2、在信任关系的建立方面。美国联邦PKI体系结构中的联邦的桥CA是各信任域建立信任关系的桥梁,不强调在建立信任关系时必须遵循交叉认证证书中所确定的担保等级之间的一一映射关系;在加拿大政府PKI体系中,各信任域之间建立信任关系必须经过中央认证机构。

  3、采用的技术方面。美国联邦PKI体系中的成员采用多种不同的PKI产品和技术,如Verisign,Baltimore和Entrust等公司的技术;而加拿大政府PKI体系中强调使用Entrust公司的技术。

  4、在组成成员方面。美国联邦PKI体系包括各级政府和与政府有商业往来的合作伙伴;而加拿大政府PKI体系的成员都是联邦的各级政府。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/8403220/viewspace-935122/,如需转载,请注明出处,否则将追究法律责任。

上一篇: 企业网络安全需要构建安全的IP网络(转)
下一篇: 让网络安全成为企业关注的首要问题(转)
user_pic_default.png
请登录后发表评论 登录
全部评论
<%=items[i].createtime%>

<%=items[i].content%>

<%if(items[i].items.items.length) { %>
<%for(var j=0;j
<%=items[i].items.items[j].createtime%> 回复

<%=items[i].items.items[j].username%>   回复   <%=items[i].items.items[j].tousername%>: <%=items[i].items.items[j].content%>

<%}%> <%if(items[i].items.total > 5) { %>
还有<%=items[i].items.total-5%>条评论 ) data-count=1 data-flag=true>点击查看
<%}%>
<%}%> <%}%>
blogzone
  • 博文量
    834
  • 访问量
    6246437

最新文章

  • 添加/删除Windows2000/XP系统组件一法(转)
  • WindowsXPProfessional系统恢复浅谈(转)
  • 软件卸载全攻略(转)
  • “电脑万能加锁专家”让文件紧锁(转)
  • 非常关机“秀”(转)
  • Win系统目录解析(转)
  • 玩转XP“多用户”功能(上)(转)
  • 玩转XP“多用户”功能(下)(转)
  • Windows2000中蓝屏死机之停止信息分析(转)
  • 在WindowsNT退休前应考虑的问题(转)

转载于:http://blog.itpub.net/8403220/viewspace-935122/

这篇关于美国和加拿大PKI/CA体系的分析(转)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/758621

相关文章

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

MOLE 2.5 分析分子通道和孔隙

软件介绍 生物大分子通道和孔隙在生物学中发挥着重要作用,例如在分子识别和酶底物特异性方面。 我们介绍了一种名为 MOLE 2.5 的高级软件工具,该工具旨在分析分子通道和孔隙。 与其他可用软件工具的基准测试表明,MOLE 2.5 相比更快、更强大、功能更丰富。作为一项新功能,MOLE 2.5 可以估算已识别通道的物理化学性质。 软件下载 https://pan.quark.cn/s/57

衡石分析平台使用手册-单机安装及启动

单机安装及启动​ 本文讲述如何在单机环境下进行 HENGSHI SENSE 安装的操作过程。 在安装前请确认网络环境,如果是隔离环境,无法连接互联网时,请先按照 离线环境安装依赖的指导进行依赖包的安装,然后按照本文的指导继续操作。如果网络环境可以连接互联网,请直接按照本文的指导进行安装。 准备工作​ 请参考安装环境文档准备安装环境。 配置用户与安装目录。 在操作前请检查您是否有 sud

线性因子模型 - 独立分量分析(ICA)篇

序言 线性因子模型是数据分析与机器学习中的一类重要模型,它们通过引入潜变量( latent variables \text{latent variables} latent variables)来更好地表征数据。其中,独立分量分析( ICA \text{ICA} ICA)作为线性因子模型的一种,以其独特的视角和广泛的应用领域而备受关注。 ICA \text{ICA} ICA旨在将观察到的复杂信号

【软考】希尔排序算法分析

目录 1. c代码2. 运行截图3. 运行解析 1. c代码 #include <stdio.h>#include <stdlib.h> void shellSort(int data[], int n){// 划分的数组,例如8个数则为[4, 2, 1]int *delta;int k;// i控制delta的轮次int i;// 临时变量,换值int temp;in

三相直流无刷电机(BLDC)控制算法实现:BLDC有感启动算法思路分析

一枚从事路径规划算法、运动控制算法、BLDC/FOC电机控制算法、工控、物联网工程师,爱吃土豆。如有需要技术交流或者需要方案帮助、需求:以下为联系方式—V 方案1:通过霍尔传感器IO中断触发换相 1.1 整体执行思路 霍尔传感器U、V、W三相通过IO+EXIT中断的方式进行霍尔传感器数据的读取。将IO口配置为上升沿+下降沿中断触发的方式。当霍尔传感器信号发生发生信号的变化就会触发中断在中断

kubelet组件的启动流程源码分析

概述 摘要: 本文将总结kubelet的作用以及原理,在有一定基础认识的前提下,通过阅读kubelet源码,对kubelet组件的启动流程进行分析。 正文 kubelet的作用 这里对kubelet的作用做一个简单总结。 节点管理 节点的注册 节点状态更新 容器管理(pod生命周期管理) 监听apiserver的容器事件 容器的创建、删除(CRI) 容器的网络的创建与删除

PostgreSQL核心功能特性与使用领域及场景分析

PostgreSQL有什么优点? 开源和免费 PostgreSQL是一个开源的数据库管理系统,可以免费使用和修改。这降低了企业的成本,并为开发者提供了一个活跃的社区和丰富的资源。 高度兼容 PostgreSQL支持多种操作系统(如Linux、Windows、macOS等)和编程语言(如C、C++、Java、Python、Ruby等),并提供了多种接口(如JDBC、ODBC、ADO.NET等

OpenCV结构分析与形状描述符(11)椭圆拟合函数fitEllipse()的使用

操作系统:ubuntu22.04 OpenCV版本:OpenCV4.9 IDE:Visual Studio Code 编程语言:C++11 算法描述 围绕一组2D点拟合一个椭圆。 该函数计算出一个椭圆,该椭圆在最小二乘意义上最好地拟合一组2D点。它返回一个内切椭圆的旋转矩形。使用了由[90]描述的第一个算法。开发者应该注意,由于数据点靠近包含的 Mat 元素的边界,返回的椭圆/旋转矩形数据